Authentification unique (SSO) basée sur en-tête pour les applications locales avec le proxy d’application Microsoft Entra

Le proxy d’application Microsoft Entra prend en charge en mode natif l’accès par authentification unique (SSO) aux applications qui utilisent des en-têtes pour l’authentification. Vous pouvez configurer les valeurs d’en-tête requises par votre application dans Microsoft Entra ID. Les valeurs d’en-tête sont envoyées à l’application via le proxy d’application. Les avantages de l’utilisation de la prise en charge native de l’authentification basée sur en-tête avec le proxy d’application incluent :

• Simplifier l’accès à distance à vos applications locales : Le proxy d’application simplifie votre architecture d’accès à distance existante. Vous remplacez l’accès VPN (Virtual Private Network) à ces applications. Vous supprimez les dépendances sur les solutions d’identité locales pour l’authentification. Vous simplifiez l’expérience pour les utilisateurs, qui ne remarquent rien de différent lorsqu’ils utilisent les applications d’entreprise. Les utilisateurs peuvent travailler où qu’ils soient sur l’appareil de leur choix.

• Aucun logiciel ou modification supplémentaire dans vos applications : vous utilisez vos connecteurs de réseau privé existants. Aucun logiciel supplémentaire n’est requis.

• Liste étendue d’attributs et de transformations disponibles : toutes les valeurs d’en-tête disponibles sont basées sur des revendications standard émises par Microsoft Entra ID. L’ensemble des attributs et transformations disponibles pour la configuration des revendications pour les applications SAML (Security Assertion Markup Language) ou OIDC (OpenID Connect) sont également disponibles comme valeurs d’en-tête.

Prérequis

Activez le proxy d’application et installez un connecteur disposant d’un accès réseau direct à vos applications. Pour en savoir plus, consultez Ajouter une application locale pour un accès à distance via le proxy d’application.

Fonctionnalités prises en charge

Le tableau liste les fonctionnalités courantes requises pour les applications accessibles par une authentification basée sur en-tête.

Condition requise	Description
Authentification unique fédérée	En mode pré-authentifié, toutes les applications sont protégées avec l’authentification Microsoft Entra et les utilisateurs ont l’authentification unique.
Accès à distance	Le proxy d’application fournit un accès à distance à l’application. Les utilisateurs accèdent à l’application depuis Internet sur n’importe quel navigateur web en utilisant l’URL (Uniform Resource Locator) externe. Le proxy d’application n’est pas destiné à un accès au réseau d’entreprise général. Pour l’accès au réseau d’entreprise général, consultez Accès privé Microsoft Entra.
Intégration basée sur l’en-tête	Le proxy d’application gère l’intégration de l’authentification unique à Microsoft Entra, puis passe les identités ou d’autres données d’application en tant qu’en-têtes HTTP à l’application.
Autorisation de l’application	Des stratégies communes sont spécifiées en fonction de l’application faisant l’objet de l’accès, de l’appartenance à un groupe de l’utilisateur et des autres stratégies. Dans Microsoft Entra ID, les stratégies sont implémentées à partir d’un accès conditionnel. Les stratégies d’autorisation d’application s’appliquent uniquement à la demande d’authentification initiale.
Configurer l’authentification	Des stratégies sont définies pour forcer une authentification ajoutée, par exemple, pour accéder à des ressources sensibles.
Autorisation affinée	Fournit un contrôle d’accès au niveau de l’URL. Des stratégies ajoutées peuvent être appliquées en fonction de l’URL faisant l’objet de l’accès. L’URL interne configurée pour l’application définit l’étendue de l’application à laquelle la stratégie est appliquée. La stratégie configurée pour le chemin le plus granulaire est appliquée.

Remarque

Cet article décrit la connexion entre les applications accessibles par une authentification basée sur en-tête et Microsoft Entra ID à l’aide du proxy d’application, qui est le modèle recommandé. En guise d’alternative, il existe un modèle d’intégration utilisant PingAccess avec Microsoft Entra ID pour activer l’authentification basée sur en-tête. Pour plus d’informations, consultez Authentification basée sur en-tête pour une authentification unique avec le proxy d’application et PingAccess.

Fonctionnement

1. L’administrateur personnalise les mappages d’attributs que requiert l’application dans le centre d’administration Microsoft Entra.
2. Le proxy d’application garantit qu’un utilisateur est authentifié avec Microsoft Entra ID.
3. Le service cloud du Proxy d’application est informé des attributs requis. Le service extrait les revendications correspondantes du jeton d’ID reçu pendant l’authentification. Le service traduit ensuite les valeurs pour obtenir les en-têtes HTTP requis dans le cadre de la demande adressée au connecteur.
4. La demande est alors transmise au connecteur qui est ensuite transmis à l’application principale.
5. L’application reçoit les en-têtes et peut utiliser ceux-ci en fonction des besoins.

Publier l’application avec le proxy d’application

1. Publiez votre application en suivant les instructions décrites dans Publier des applications avec le proxy d’application.

   • La valeur de l’URL interne détermine l’étendue de l’application. Vous configurez la valeur de l’URL interne au niveau du chemin racine de l’application, et tous les sous-chemins sous la racine reçoivent les mêmes configurations d’en-tête et d’application.
   • Créez une application pour définir une configuration d’en-tête ou une attribution d’utilisateur différente pour un chemin d’accès plus granulaire que celui de l’application que vous avez configurée. Dans la nouvelle application, configurez l’URL interne avec le chemin d’accès spécifique dont vous avez besoin, puis configurez les en-têtes spécifiques nécessaires pour cette URL. Le proxy d’application fait toujours correspondre vos paramètres de configuration au chemin le plus précis défini pour une application.

2. Sélectionnez Microsoft Entra ID comme méthode de pré-authentification.

3. Attribuez un utilisateur de test en accédant à Utilisateurs et groupes, puis en attribuant les utilisateurs et les groupes appropriés.

4. Ouvrez un navigateur et accédez à l’URL externeà partir des paramètres du proxy d’application.

5. Vérifiez que vous pouvez vous connecter à l’application. Même si vous pouvez vous connecter, vous ne pouvez pas encore accéder à l’application, car les en-têtes ne sont pas configurés.

Configurer l’authentification unique

Avant de commencer à utiliser l’authentification unique pour les applications basées sur en-tête, installez un connecteur de réseau privé. Le connecteur doit pouvoir accéder aux applications cibles. Pour en savoir plus, consultez Tutoriel : Proxy d’application Microsoft Entra.

1. Une fois que votre application apparaît dans la liste des applications d’entreprise, sélectionnez-la, puis sélectionnez Authentification unique.
2. Définissez le mode d’authentification unique sur Basée sur l’en-tête.
3. Dans Configuration de base, Microsoft Entra ID est sélectionné comme valeur par défaut.
4. Sélectionnez le crayon de modification dans En-têtes pour configurer les en-têtes à envoyer à l’application.
5. Sélectionnez Ajouter un nouvel en-tête. Fournissez un nom pour l’en-tête et sélectionnez Attribut ou Transformation, puis sélectionnez dans la liste déroulante l’en-tête dont votre application a besoin.
   • Pour en savoir plus sur la liste des attributs disponibles, consultez Personnalisations des revendications- Attributs.
   • Pour en savoir plus sur la liste des transformations disponibles, consultez Personnalisations des revendications- Transformations de revendication.
   • Vous pouvez ajouter un en-tête de groupe. Pour en savoir plus sur la configuration des groupes en tant que valeur, consultez : Configurer des revendications de groupe pour les applications.
6. Sélectionnez Enregistrer.

Tester votre application

L’application est maintenant en cours d’exécution et disponible. Pour tester l’application :

1. Effacez les en-têtes précédemment mis en cache en ouvrant une nouvelle fenêtre de navigateur ou une fenêtre de navigation privée.
2. Accédez à l’URL externe. Vous trouverez ce paramètre répertorié comme URL externe dans les paramètres du proxy d’application.
3. Connectez-vous au compte de test que vous avez attribué à l’application.
4. Vérifiez que vous pouvez charger l’application et vous y connecter en utilisant l’authentification unique.

À propos de l’installation

• Le proxy d’application fournit un accès à distance aux applications locales ou sur un cloud privé. Le proxy d’application n’est pas recommandé pour le trafic provenant du même réseau que l’application visée.
• L’accès aux applications d’authentification par l’en-tête doit être limité au trafic issu du connecteur ou d’une autre solution autorisée d’authentification par l’en-tête. Une restriction d’accès est généralement définie avec un pare-feu ou une restriction IP sur le serveur d’applications.

Étapes suivantes

• Qu’est-ce que l’authentification unique ?
• Qu’est-ce que le Proxy d’application ?